LayerZero divulgue un incident d’empoisonnement RPC lié au piratage de $292M KelpDAO

Le protocole de communication inter-chaînes Layerzero Labs a révélé vendredi que son infrastructure interne a été compromise par des pirates nord-coréens et par une attaque DDoS simultanée lors de la violation de KelpDAO.

• Points clés :
• • Le groupe Lazarus a attaqué les RPC internes de Layerzero Labs et a empoisonné des sources de données afin de s’en prendre au projet DeFi KelpDAO.
• • La faille de sécurité a touché 0,14% des applications et environ 0,36% de la valeur des actifs associée à Layerzero.
• • Layerzero Labs migre tous les paramètres par défaut vers une configuration 5/5 de DVN afin d’améliorer la sécurité inter-chaînes.

Layerzero Labs s’excuse pour la réponse à la faille de sécurité du groupe Lazarus

Layerzero Labs a présenté des excuses franches pour trois semaines de silence sur la communication à la suite d’une faille de sécurité impliquant le groupe Lazarus. D’après une mise à jour officielle, les attaquants ont empoisonné la source de vérité des Remote Procedure Calls (RPC) internes utilisés par le Decentralized Verifier Network (DVN) décentralisé de Layerzero Labs (DVN).

Ce coup sophistiqué a coïncidé avec une attaque par Distributed Denial of Service (DDoS) contre le fournisseur externe de RPC de la société. Les conséquences, selon le rapport, ont été contenues à une petite fraction de l’écosystème. Layerzero a noté que l’incident a touché une seule application, ce qui représente 0,14% du total des applis et 0,36% de la valeur totale verrouillée sur le protocole.

Depuis le 19 avril, l’équipe a détaillé qu’elle travaille avec des partenaires de sécurité externes afin de finaliser un rapport post-mortem complet. L’équipe a aussi reconnu un manquement important consistant à autoriser leur DVN à agir comme seul vérificateur pour des transactions de forte valeur. Layerzero a également admis qu’elle n’a pas fait respecter ce que leur DVN sécurisait, ce qui a créé un risque de « point de défaillance unique ».

Pour y remédier, le laboratoire éduque désormais les développeurs sur des configurations sûres et ne fournira plus de configurations DVN 1/1. La divulgation a aussi abordé un manquement de sécurité étrange impliquant un signataire multisig. Il y a trois ans et demi, un individu a utilisé par erreur un portefeuille matériel multisig pour une transaction personnelle.

Le signataire a depuis été retiré, et la société a mis en place une solution multisig sur mesure baptisée « Onesig ». Onesig est conçue pour empêcher les transactions backend non autorisées en hachant et en « merklisant » les transactions localement côté utilisateur. Layerzero a noté qu’elle augmente également son seuil multisig de 3/5 à 7/10 sur toutes les chaînes où Onesig est pris en charge.

Ce changement, a expliqué la société, s’inscrit dans un effort plus large visant à renforcer le protocole contre les menaces futures parrainées par des États. Malgré la brèche, le protocole a souligné que plus de 9 milliards de dollars de volume ont circulé sur le réseau depuis le 19 avril. Layerzero a insisté sur le fait qu’il a été construit avec l’idée que les applications doivent posséder leur sécurité de bout en bout afin d’éviter les risques systémiques.

L’architecture a permis plus de 260 milliards de dollars de transferts au total à ce jour, selon l’article de blog. À l’avenir, Layerzero recommande aux développeurs d’« épingler » leurs configurations plutôt que de se fier aux paramètres par défaut. L’équipe suggère aussi de définir des confirmations de bloc à des niveaux où les réorganisations sont quasiment impossibles.

L’équipe travaille actuellement sur le développement d’un second client DVN écrit en Rust afin de favoriser la diversité des clients. D’autres améliorations incluent une configuration de quorum de RPC plus robuste. Cela, a détaillé Layerzero, permet aux DVN de sélectionner des quorums granuleux entre fournisseurs internes et externes. L’équipe lance également « Console », une plateforme unifiée permettant aux émetteurs d’actifs de gérer la sécurité et de surveiller les anomalies.

L’équipe de Layerzero reste catégorique sur le fait que le protocole sous-jacent n’a pas été affecté par l’empoisonnement des RPC. Elle affirme que la conception modulaire a permis de maintenir le reste des 9 milliards de dollars de trafic récent en sécurité. L’aveu d’une attaque liée à Lazarus montre le réalisme et la menace persistante auxquels fait face aujourd’hui l’infrastructure inter-chaînes. Le message de Layerzero fait suite à quelques projets DeFi qui ont choisi d’exploiter le CCIP de Chainlink.

Plus tôt cette semaine, le ministère des Affaires étrangères de la Corée du Nord (via le média d’État KCNA) a rejeté les allégations américaines et internationales l’associant à des vols de cryptomonnaies et à des cyberattaques. Ils ont qualifié ces accusations de « diffamation absurde », de « fausses informations » et de campagne de discrédit motivée politiquement par les États-Unis visant à ternir leur image.